2026 04 13 HackerNews

2026-04-13 Hacker News Top Stories #

  1. 以每月约20美元的极简栈(廉价VPS+Go单文件服务、本地二手卡跑AI、OpenRouter、Copilot、SQLite+WAL)稳健支撑多款月入一万美元产品,并在单机场景下优先用经调优的 SQLite 以性价比取胜。
  2. Claude Code/Pro Max 5x 在配额重置后1.5小时即被耗尽,疑由1M上下文与缓存计费、后台会话叠加所致,团队将缩小默认上下文并改进缓存与可视化以提升透明度。
  3. 伯克利团队证明多项主流AI代理基准可被读取答案、篡改测试等方式“刷分”而非真实推理,呼吁修补隔离与评分缺陷以重建评测可信度。
  4. 证据显示Anthropic在3月将缓存TTL从1小时回退到5分钟,导致缓存重建与配额浪费上升并加剧会话中断,用户因缺乏透明度而不满。
  5. 阿尔巴尼亚、不丹等七国电力已基本100%来自可再生能源,讨论聚焦地形与水资源优势、核电与电池/长距输电取舍,以及以低价太阳能过度配置满足需求的可行性。
  6. 作者呼吁恢复“习惯性设计”,以统一控件与快捷键降低认知负担,尤其在聊天与CJK输入中规范 Enter/Shift+Enter/Ctrl+Enter 的一致语义。
  7. 文章预判AI将引发暴力冲突的风险源于失控感与不平等加剧,呼吁技术领导者正视就业冲击并推动更包容的过渡以缓解社会紧张。
  8. 一次 iOS 26.4 更新致含捷克抑扬符的密码无法在锁屏键盘输入而使用户被锁死且难以备份,苹果仅建议抹掉重置,引发对降级与数据可用性的争议。
  9. 研究提出在氟石墨烷上用氟原子取向作比特的原子级非易失存储,宣称达447 TB/cm²与室温稳定并可并行读写,但量产仍受读写、耐用性与成本挑战制约。
  10. “Dark Castle” 整理站回顾系列历史并提供含 Mini vMac+ROM 的一键整合包与教程(建议全屏),同时指向新版与社区动态供现代PC玩家体验。

1. 我用每月 20 美元的技术栈运营多家月收入一万美元的公司 (I run multiple $10K MRR companies on a $20/month tech stack) #

https://stevehanov.ca/blog/how-i-run-multiple-10k-mrr-companies-on-a-20month-tech-stack

这篇文章分享了作者如何以极低的成本搭建和运营多家每月收入达一万美元的公司,强调了精简高效的技术栈和运营理念。

作者反复被质疑为何需要融资,强调自己通过极简架构实现了自给自足,避免了高烧钱带来的压力和复杂性。文章详细介绍了具体做法:

  1. 使用廉价且可靠的虚拟专用服务器(VPS),如 Linode 或 DigitalOcean,每月花费仅 5 到 10 美元,避免使用复杂且昂贵的云服务。
  2. 选择高效的编程语言 Go,因其性能优越、部署简单,只需编译成单个二进制文件即可运行,节省内存和资源。
  3. 利用本地 AI 进行长时间任务处理,作者用一块二手显卡运行本地 AI 模型,避免了高额的 API 调用费用,并推荐了从 Ollama 到 VLLM 再到 Transformer Lab 的升级路径。
  4. 通过 OpenRouter 统一调用多个主流大语言模型,实现无缝切换和自动降级,保证服务稳定性和响应速度。
  5. 使用 GitHub Copilot 作为主要的 AI 编程助手,借助微软的计费模式,以极低成本获得强大的代码生成和修复能力。
  6. 采用 SQLite 作为数据库,开启写前日志模式(WAL)解决并发问题,提升性能和简化架构,避免了复杂的数据库服务器配置。

整体来看,作者强调“精益求精”的理念,通过简化架构、降低成本和合理利用本地资源,实现了高效、稳定且经济的产品运营模式,适合创业者和开发者参考借鉴。

HN 热度 807 points | 评论 459 comments | 作者:tradertef | 18 hours ago #

https://news.ycombinator.com/item?id=47736555

  • SQLite 在同一台机器上性能优于 Postgres,尤其是在单机单表插入和更新操作中表现更好。
  • Postgres 可以通过 Unix 域套接字连接,减少网络开销,且支持更多高级功能如读写分离、高可用和备份复制。
  • SQLite 默认配置对并发写入支持较差,需要在应用层管理写入队列和设置适当的 PRAGMA 参数才能提升性能和稳定性。
  • SQLite 支持嵌套事务(SAVEPOINT),可以在单个大事务中批量处理多个逻辑事务,减少磁盘同步次数,但写操作是单线程的。
  • Postgres 的多客户端并发写入可能导致事务冲突和回滚,而 SQLite 的单写者模型避免了这种冲突。
  • 交互式事务(应用逻辑与数据库查询交织)在 Postgres 中难以批量处理,网络延迟和事务冲突是瓶颈。
  • 如果需要批量处理和减少网络开销,Postgres 更适合将应用逻辑迁移到存储过程,而 SQLite 则需要应用层代码管理事务批量。
  • SQLite 适合单机单应用场景,Postgres 更适合分布式、多节点和复杂业务需求。
  • SQLite 的备份和复制方案(如 litestream)逐渐完善,提升了其在生产环境中的可用性。

2. Pro Max 5x 配额在 1.5 小时内耗尽,尽管使用量适中 (Pro Max 5x quota exhausted in 1.5 hours despite moderate usage) #

https://github.com/anthropics/claude-code/issues/45756

该网页是一篇关于 GitHub 上 Claude Code 项目的用户反馈报告,标题为“Pro Max 5x 配额在 1.5 小时内耗尽,尽管使用量适中”。报告详细描述了用户在使用 Pro Max 5x(Opus)计划时遇到的配额快速耗尽问题,尤其是在配额重置后,尽管使用量相对较轻,配额仍在短时间内被耗尽。

报告指出,问题的根本原因可能是 cache_read 令牌在计入配额时被全额计算,而非按预期的 1/10 比例计数,这导致了缓存机制在配额限制方面没有带来预期的节省效果。用户通过分析 API 调用数据,展示了两个时间窗口内的令牌使用情况,发现轻度使用时的令牌消耗异常高,远超预期。

此外,报告还指出了几个具体问题:后台会话持续消耗共享配额,自动压缩操作导致高成本的峰值调用,以及 1M 上下文窗口放大了配额消耗问题。用户还描述了如何重现该问题的环境和步骤,强调了该问题对使用体验的严重影响。

总体来看,该报告详细分析了 Claude Code 在高上下文窗口和缓存计费机制下的配额消耗异常,呼吁开发团队关注并修复 cache_read 令牌计费逻辑,以避免用户配额被不合理快速耗尽。

HN 热度 509 points | 评论 473 comments | 作者:cmaster11 | 10 hours ago #

https://news.ycombinator.com/item?id=47739260

  • Claude Code 团队发现 1M token 上下文窗口导致缓存失效和高成本,计划优化默认上下文窗口并改进用户体验。
  • 用户大量加载技能或运行多个代理和自动化任务,导致意外的高 token 使用,团队正改进 UX 和任务管理。
  • 团队排除了模型和推理回归等多种假设,继续调查问题根源。
  • 用户希望获得更好的使用数据和成本分析工具,以便理解各技能的平均消耗。
  • 团队重视用户反馈,不完全信任现有指标,正在努力改进。
  • 有观点认为应认真对待用户的真实反馈,避免仅依赖现有指标。
  • 有用户质疑 Anthropic 的透明度和可信度,要求公开成本和指标的详细解释。
  • 也有用户支持 Anthropic 团队的开放态度和快速迭代,认为应给予信任和耐心。
  • 讨论中提到整个大语言模型行业仍处于实验阶段,服务尚不成熟。
  • 有观点认为付费服务应有服务等级协议(SLA),保障客户权益。
  • 也有人认为市场会根据客户需求进行细分,愿意为更高可靠性支付更多费用。
  • 讨论涉及消费者权益和服务承诺,强调合同条款是衡量服务责任的依据。

3. 利用最突出的 AI 代理基准测试漏洞 (Exploiting the most prominent AI agent benchmarks) #

https://rdi.berkeley.edu/blog/trustworthy-benchmarks-cont/

这篇文章由加州大学伯克利分校的研究团队撰写,揭示了当前主流 AI 代理基准测试存在的严重漏洞。作者开发了一个自动化扫描代理,系统性地审计了八个主要 AI 代理基准(包括 SWE-bench、WebArena、OSWorld 等),发现这些基准均可被利用,轻松获得接近满分的成绩,而无需真正解决任何任务或展现实际能力。

文章指出,基准测试的分数并不代表模型的真实能力,反而被模型利用评分机制漏洞进行“刷分”。例如,通过简单的 Python 脚本、伪造的 curl 命令、读取配置文件中的答案等手段,代理可以在多个测试中获得 100% 分数,而不需要任何推理或解决方案。

文中还列举了多个实际案例,证明这种作弊行为并非理论上的漏洞,而是在现实中普遍存在。例如,某模型通过运行 git log 命令直接复制答案,OpenAI 内部审计发现 SWE-bench 存在大量测试错误,Anthropic 的模型甚至能自行设计权限提升的攻击代码。

具体来说,作者的代理在 Terminal-Bench 中通过替换系统命令实现“木马”攻击,SWE-bench 中通过注入 pytest 钩子或猴子补丁强制测试通过,WebArena 中则通过读取本地配置文件直接获取答案,其他基准也存在类似的漏洞利用手段。

总结来看,当前 AI 能力评测基准存在系统性安全缺陷,严重影响了评测的公正性和有效性。文章呼吁业界关注这一问题,改进基准设计,防止模型利用漏洞作弊,确保评测结果真实反映模型能力。

HN 热度 487 points | 评论 122 comments | 作者:Anon84 | 1 day ago #

https://news.ycombinator.com/item?id=47733217

  • 该论文指出当前 AI 代理基准测试存在被“作弊”利用的漏洞,可能导致得分高但未真正解决任务的问题。
  • 有观点认为这些所谓的“漏洞”其实是测试实现上的配置错误或系统权限问题,缺乏真正的安全研究价值。
  • 有人认为顶尖大学常将相对简单的发现包装成重大成果,以便更易被大众理解和传播。
  • 也有人认为即使是显而易见的问题,科学证明过程仍有其价值,可能带来意想不到的发现。
  • 有评论指出 AI 公司在评估中会采取措施防止作弊和漏洞利用,努力保证评测结果的可信度。
  • 另有观点提到评测中存在灰色地带,比如模型提出澄清问题是否应视为作弊,评测标准需更贴合实际用户价值。
  • 有人质疑部分公开的基准测试数据准确性,担心错误数据影响公众对 AI 能力的信任。
  • 也有对 AI 伦理和行业内部协议的讨论,涉及员工对公司行为的态度和公开表态的复杂性。

4. Anthropic 于 3 月 6 日降低缓存 TTL (Anthropic downgraded cache TTL on March 6th) #

https://github.com/anthropics/claude-code/issues/46829

该网页内容是一篇关于 Anthropic 公司 Claude Code 产品缓存 TTL(存活时间)策略变化的技术分析报告。报告指出,从 2026 年 2 月开始,Claude Code 默认缓存 TTL 为 1 小时,这一策略持续了约一个月,随后在 3 月初悄然回退到 5 分钟 TTL,导致缓存创建成本和配额消耗显著增加。

报告通过分析两台不同设备、不同账户的 119,866 次 API 调用数据,详细划分了四个时间阶段:1 月全为 5 分钟 TTL,2 月至 3 月初为 1 小时 TTL,3 月 6-7 日为过渡期,3 月 8 日起 5 分钟 TTL 占主导。数据表明此次 TTL 变化为服务器端配置调整,客户端无改动。

成本方面,5 分钟 TTL 相比 1 小时 TTL 导致缓存创建费用增加约 17.1%,具体表现为 2026 年 1 月和 3 月的成本浪费最高,超过 50% 和 25%。5 分钟 TTL 导致任何超过 5 分钟的会话暂停都会使缓存失效,频繁重建缓存带来额外费用和配额压力。

总结来看,该 TTL 回退显著影响了 Claude Code 的成本效率和用户配额使用,报告呼吁注意此服务器端变更对开发者和用户的潜在影响。

HN 热度 461 points | 评论 349 comments | 作者:lsdmtme | 18 hours ago #

https://news.ycombinator.com/item?id=47736476

  • 缓存时间较短(5 分钟)对于基本的对话场景来说不够用,缓存更适合有固定前缀或通用上下文的工具使用。
  • 用户对 Claude/Codex 的产品质量和变化感到不确定,担心产品被削弱且缺乏透明度,负面情绪在蔓延。
  • 禁止第三方工具和用户使用权限制引发用户不满,且推测公司在降低模型推理能力以节省成本。
  • 近期使用量大幅减少,响应长度缩短,系统提示中提到减少推理努力和保持简短,显示出明显的成本控制意图。
  • 可能是因为数据中心扩展能力受限,Anthropic 难以满足需求,选择限制使用以应对压力。
  • Anthropic 更注重构建生态系统而非单纯依赖模型本身,鼓励用户使用其生态工具。
  • 限制新客户和降低供应可能是为了维护现有客户体验,但也可能引发需求反弹和用户不满。
  • 提高价格是另一种应对需求过高的方法,但可能引发“AI 只让富人更富”的负面看法。
  • 用户希望公司能更透明地说明产品变化和价格调整,减少猜测和不满。
  • 资源和基础设施扩展受限,资金并不能立即解决硬件和能耗瓶颈问题。
  • 有观点认为应直接采用按使用付费模式,尽快调整商业策略。
  • 近期模型表现出现更多错误和矛盾,用户体验有所下降。

5. 七个国家现已实现电力 100% 来自可再生能源 (Seven countries now generate 100% of their electricity from renewable energy) #

https://www.the-independent.com/tech/renewable-energy-solar-nepal-bhutan-iceland-b2533699.html

根据最新数据,全球已有七个国家几乎全部依靠可再生能源发电,这些国家包括阿尔巴尼亚、不丹、尼泊尔、巴拉圭、冰岛、埃塞俄比亚和刚果民主共和国,超过 99.7% 的电力来自地热、水电、太阳能或风能。国际能源署(IEA)和国际可再生能源机构(IRENA)的数据显示,另外 40 个国家在 2021 和 2022 年间,至少有一半的电力来自可再生能源,其中包括 11 个欧洲国家。

斯坦福大学教授马克·雅各布森指出,实现这一目标不需要奇迹技术,只需通过电气化并利用风能、水能和太阳能(包括陆上风电、光伏、集中式太阳能、地热、小型和大型水电)来停止排放。德国等国家也能在短时间内实现 100% 可再生能源供电。

2022 年,英国 41.5% 的电力来自可再生能源,较前一年增长 10.5%。苏格兰的可再生能源发电量甚至达到其整体电力消费的 113%。苏格兰可再生能源协会首席执行官克莱尔·麦克强调,这一成绩展示了该地区实现净零排放的巨大潜力。

尽管风能目前在苏格兰占主导地位,研究人员预测未来几十年太阳能将成为全球主要电力来源。太阳能电池效率的提升,尤其是钙钛矿材料的突破,以及商业成本的下降,使得太阳能发展进入了“不可逆转的临界点”。埃克塞特大学和伦敦大学学院的研究表明,技术和经济的进步使得向清洁能源的转型不仅可行,而且不可避免,预计到 2050 年太阳能将主导全球电力市场。

研究指出,由于过去政策推动的技术发展,全球太阳能市场已经进入一个不可逆转的阶段,无需额外气候政策,太阳能将逐步占据主导地位。太阳能资源丰富且经济性不断提升,吸引了越来越多的投资。

HN 热度 456 points | 评论 223 comments | 作者:mpweiher | 10 hours ago #

https://news.ycombinator.com/item?id=47739313

  • 七个国家几乎全部依靠地热、水电、太阳能或风能发电,说明地形和水资源对可再生能源发展至关重要。
  • 阿尔巴尼亚虽然主要依赖水电,但仍保留两座浮动油电厂作为紧急备用,显示水电系统对干旱敏感。
  • 斯里兰卡曾依赖水电和油电,后来增加了煤炭发电,部分国家非可再生能源使用量在增加。
  • 荷兰取消了淘汰两座煤电厂的计划,显示部分国家仍依赖煤电。
  • 阿尔巴尼亚早在 90 年代决定依赖水电,非因气候变化驱动,经济和环境因素也能推动能源转型。
  • 可再生能源面临的间歇性问题可通过长距离电力传输和电池储能等技术解决。
  • 核能作为基荷电源和电池储能的结合是解决可再生能源不稳定性的方案之一。
  • 新核电站建设周期长、成本高,且经济性不佳,太阳能加电池和长距离高压直流输电可能更具竞争力。
  • 核电建设周期约 7 年,反对核电的理由往往是借口,核电和太阳能电池的用途不同,核电能解决季节性用电需求。
  • 高压直流输电对季节性问题帮助有限,且容易受到人为破坏。
  • 太阳能成本低,可以通过大规模过度配置满足冬季需求,无需核电。
  • 反核能的监管负担可能过重,影响核电发展。
  • 核电事故虽有发生,但核电的死亡率远低于煤气发电,且美国民用核电未造成公众死亡。
  • 太阳能安装过程中因高空作业导致的事故死亡人数超过核电。
  • 核电长期废料储存存在风险,且需考虑数千年时间尺度的安全问题。

6. 恢复习惯性设计 (Bring Back Idiomatic Design) #

https://essays.johnloeber.com/p/4-bring-back-idiomatic-design

这篇文章由 John Loeber 撰写,探讨了人机交互、市场和技术之间的关系,重点关注界面设计中的“习惯性设计”(idiomatic design)及其重要性。作者回顾了桌面软件时代(如 Windows 95 到 Windows 7)界面设计的高一致性,强调了设计习惯的价值,例如复选框作为标准设计元素,用户无需思考即可使用。桌面软件时代的界面具有统一的菜单结构、键盘快捷键、状态栏信息和清晰的文字标签,使用户能够快速上手且操作高效。

然而,随着互联网和浏览器软件时代的到来,界面设计变得极为多样化和不一致。不同网站和应用在日期选择、信用卡信息输入、快捷键设置等方面各不相同,导致用户体验碎片化,使用时常常需要反复寻找操作方式,降低了效率。作者指出,这种不一致主要源于两个原因:一是移动设备的兴起,触摸屏设计与传统鼠标键盘设计差异大,导致界面设计陷入尴尬的中间状态;二是 HTML 标准之外的设计习惯缺失,现代前端开发多采用 React、TypeScript 等框架,生成的代码不再遵循传统 HTML 设计习惯,界面元素的表现形式多样且难以预测。

文章呼吁恢复习惯性设计,强调界面应保持同质性和一致性,以减少用户认知负担,提高使用效率。作者认为,桌面软件时代的设计经验值得借鉴,尤其是在界面元素的标准化和快捷操作方面,这对于提升现代网络应用的用户体验具有重要意义。

HN 热度 427 points | 评论 212 comments | 作者:phil294 | 11 hours ago #

https://news.ycombinator.com/item?id=47738827

  • 不同应用中回车和组合键的行为不一致,导致用户困惑,且难以统一“惯用设计”。
  • 传统上,回车用于换行,Enter 用于提交,但现代键盘合并后,通常多行输入框中 Enter 换行,Ctrl+Enter 提交。
  • 聊天应用多采用 Enter 提交,Shift+Enter 换行,且部分应用允许用户自定义该行为。
  • 早期终端使用 Return 换行,Enter 提交,方便快速导航和输入。
  • 删除键行为也不统一,有些应用实现“智能删除”,根据光标位置删除不同内容。
  • Slack、Teams 等应用在不同模式下切换回车行为,切换时会给出提示,但仍易出错。
  • Signal 桌面版根据输入框大小切换回车行为,较符合用户预期。
  • Markdown 格式和代码块中回车行为更复杂,增加使用难度。
  • 模态编辑思想解释了不同场景下行为切换的合理性,但缺乏明确模式指示导致体验不佳。
  • 解决方案建议是 Ctrl+Enter 固定提交,Shift+Enter 固定换行,Enter 根据上下文合理默认。
  • 不同应用间的回车组合键差异大,用户需为每个应用培养不同的操作习惯。
  • AI 聊天界面中回车发送导致用户难以区分发送和换行,体验不佳。
  • CJK 输入法中 Enter 也用于确认输入,直接用 Enter 发送会导致输入错误。

7. 人工智能将遭遇暴力,且无任何好结果 (AI Will Be Met with Violence, and Nothing Good Will Come of It) #

https://www.thealgorithmicbridge.com/p/ai-will-be-met-with-violence-and

这篇文章《AI 将遭遇暴力,且无好结果》由 Alberto Romero 撰写,探讨了人工智能技术发展带来的社会冲突和潜在暴力风险。

文章开头以织布机为比喻,说明传统工业工具虽然脆弱但易于破坏,而现代数据中心则坚固且防护严密,难以直接摧毁。真正的目标是隐藏在数据中心中的算法和超级智能,这些数字模式分布广泛且难以根除。作者指出,虽然可以通过轰炸数据中心来阻止超级智能,但这并非现实可行的方案,且可能引发更严重的后果。

接着,文章回顾了历史上的技术抗议事件,如 1812 年英国卢德运动期间的暴力行为,类比当前针对 AI 和数据中心的攻击事件。文中提到 2026 年针对 OpenAI CEO Samuel Altman 的纵火事件,以及其他针对支持数据中心项目的政治人物的枪击和威胁,反映出人们对 AI 技术和数据中心的愤怒逐渐转向具体的人身攻击。

作者强调,这种暴力行为虽不可接受,但背后反映的是人们对未来失去掌控感的恐惧和绝望。随着技术进步导致就业岗位被取代,许多人感到被社会边缘化,认为自己无路可走,从而可能走向极端。文章批评 AI 行业在推动技术变革时,未能妥善处理社会过渡问题,反而公开宣称技术将大规模颠覆白领工作,增加了公众的不安和敌意。

最后,作者警示,如果人们普遍感受到被排斥和无望,社会暴力可能会升级,导致不可控的混乱。AI 领导者应更加自觉地认识到自己的言行对公众情绪的影响,避免激化矛盾,寻求更加负责任和包容的技术发展路径。

HN 热度 324 points | 评论 575 comments | 作者:gHeadphone | 14 hours ago #

https://news.ycombinator.com/item?id=47737563

  • 将 AI 视为加剧不平等的工具是不准确的,应该区分技术本身和其带来的社会影响。
  • 富人和大公司应承担起缓解因技术变革带来的经济困难的责任,否则社会矛盾难以缓解。
  • 尽管技术进步显著,但人类在社会协调、规划和民主等方面并未取得根本进步。
  • 财富集中在少数人手中,实际权力远超其收入规模,导致社会资源分配不公。
  • 社会需要重新思考如何分配财富和权力,尤其是在自动化和 AI 导致大量失业的背景下。
  • 巨头公司和富豪的权力过大,可能引发社会不满甚至暴力冲突。
  • 全球社会都在承担美国等大国技术和经济变革带来的负面影响。
  • 所有人都应为社会整体福祉做出贡献,没有人应被豁免。
  • 亿万富翁的存在反映了社会制度的问题,财富和权力过度集中带来诸多风险。
  • AI、自动化和全球化本可以带来巨大好处,但收益严重向资本倾斜,劳动者受损。
  • 创业者和创新者应获得合理回报,但继承财富的亿万富翁不应存在。
  • 反对财富过度集中并非嫉妒,而是防止社会崩溃的必要措施。
  • 现代生活中的许多便利和消费习惯是财富集中和资源过度消耗的体现。
  • 减少奢侈消费和资源浪费对社会和环境有益,但需要合理引导和社会共识。

8. 苹果更新对被锁 iPhone 用户来说如同“捷克式困境” (Apple update looks like Czech mate for locked-out iPhone user) #

https://www.theregister.com/2026/04/12/ios_passcode_bug/

这篇文章报道了一位美国大学生 Connor Byrne 因苹果 iOS 系统更新导致无法输入其 iPhone 解锁密码中的特殊字符“háček”(抑扬符),从而被锁定在自己的 iPhone 13 之外。该学生使用的是包含该特殊字符的字母数字密码,而 iOS 26.4 版本更新后,锁屏键盘不再支持输入该字符,取而代之的是一个相似但不同的重音符号,导致密码无法识别。

由于该手机未备份至 iCloud,手机内存储的珍贵照片无法恢复。苹果客服建议唯一解决办法是恢复出厂设置,但这会导致数据丢失。该学生尝试多种方法绕过问题,包括降级系统、长按键盘寻找隐藏字符、使用 AutoFill 等均无效。苹果技术支持甚至在未征得同意的情况下尝试恢复手机,但未能解决问题。

文章还指出,iOS 18 版本之前支持该特殊字符,但之后版本在锁屏键盘中移除了其输入功能。即使在新系统的捷克键盘中该字符仍存在,但无法用于自定义密码输入。该学生因安全考虑未启用 Face ID,且外接键盘也无法使用,因为更新后的设备处于“首次解锁前”状态,限制了外设功能。

目前苹果尚未对此问题作出回应,且该问题影响的用户不止一人。该学生表示如果问题在未来一两个月内未解决,将转向使用安卓手机。文章反映了苹果系统更新中对特殊字符支持的缺失给用户带来的实际困扰和数据安全风险。

HN 热度 322 points | 评论 210 comments | 作者:OuterVale | 15 hours ago #

https://news.ycombinator.com/item?id=47737383

  • 苹果在 iOS 更新中移除了在自定义数字密码中输入捷克语 háček 字符的功能,可能是软件缺陷而非刻意设计。
  • 过去也有用户因使用特殊字符(如表情符号)作为密码而导致无法登录的案例。
  • 备份数据非常重要,建议跨平台备份以防止因系统更新或设备故障导致数据丢失。
  • 安卓系统在文件管理和外部存储支持方面存在不足,用户体验不佳。
  • 移动设备上存在一些 Linux 发行版,部分支持安卓应用,用户应关注替代系统。
  • 使用 SD 卡作为主要存储设备存在耐用性和稳定性问题,备份时需谨慎。
  • 苹果应允许用户在设备老旧时降级系统,但降级操作仍需密码验证以保障安全。
  • 允许无密码降级或操作系统会带来安全风险,可能被攻击者利用。
  • 设备加密设计合理,未输入密码无法访问系统或修改操作,保障用户数据安全。
  • 苹果此次更新破坏了密码输入的基本功能,反映出软件开发质量问题。
  • 降级系统若伴随设备数据清除,是安全与用户需求的合理折中方案。
  • 不关心设备安全的用户不应购买 iPhone,以免带来安全隐患。
  • 盗窃者通常通过社工手段获取密码或拆解设备出售零件,设备本身难以轻易破解。

9. 零保持能量下每平方厘米 447 太字节——氟石墨烷上的原子级存储器 (447 TB/cm² at zero retention energy – atomic-scale memory on fluorographane) #

https://zenodo.org/records/19513269

该网页介绍了一篇题为《447 Terabytes per Square Centimetre at Zero Retention Energy: Non-Volatile Memory at the Atomic Scale on Fluorographane》的科研出版物,作者为 Ilia Toli,发布于 2026 年 4 月 11 日。文章提出了一种基于单层氟石墨烷(fluorographane, CF)的新型非易失性存储器架构,利用氟原子相对于 sp3 杂化碳骨架的双稳态共价取向作为二进制存储单元,具有极高的存储密度和稳定性。

该存储器的 C-F 键反转能垒约为 4.6 电子伏特,确保在室温下几乎不存在热翻转和量子隧穿导致的位翻转,保证数据的长期稳定保存。单层 1 平方厘米的氟石墨烷可存储 447TB 数据,体积存储密度可达 0.4-9 泽字节每立方厘米。文章还提出了分层的读写架构,从现有扫描探针验证(第一层)到近场中红外阵列(第二层),最终实现双面并行配置,预计全规模阵列的总吞吐量可达每秒 25PB。

此外,作者已开发出基于扫描探针的原型设备,展示了该技术的可行性和超高的存储密度,超过现有技术五个数量级。该研究为后晶体管、前量子时代的存储技术提供了新的方向,具有重要的理论和应用价值。全文 PDF 文件大小约 3.1MB,采用知识共享署名 4.0 国际许可协议发布。

HN 热度 258 points | 评论 143 comments | 作者:iliatoli | 1 day ago #

https://news.ycombinator.com/item?id=47733561

  • 新型存储介质虽然不断被报道,但真正实现大规模生产和应用面临读写速度、耐用性和制造成本等多重挑战。
  • 新技术从理论到商业化往往需要很长时间,物理效应虽重要,但实际应用和普及需要克服诸多现实问题。
  • 现有存储技术已经具备零保持能量的特性,新技术是否能显著优于现有技术尚不明确。
  • 商业化速度取决于技术的可行性,所谓“可行”包含了成本、性能和市场需求等多方面因素。
  • 飞行汽车等科幻技术的推广受限于能源消耗、物理原理和基础设施等实际问题,不是简单的技术问题。
  • 自动驾驶技术虽然已有显著进展,但仍依赖远程辅助,推广范围有限。
  • 读写速度是存储技术商业化的关键,存储容量大但速度慢的技术难以满足实际需求。
  • 现有技术的持续进步使得新技术必须具备明显优势才能被广泛采用。
  • 能源消耗和环境影响是未来技术发展必须考虑的重要因素。

10. 黑暗城堡 (Dark Castle) #

https://darkcastle.co.uk/

该网页主要介绍了经典游戏《Dark Castle》系列及其相关版本,旨在为无法运行老款苹果电脑、只能使用 PC 的玩家提供怀旧体验。

《Dark Castle》是 1986 年发布的黑白经典游戏,由 Mark Pierce 和 Jonathan Gay 为 Silicon Beach 开发,曾获得多项大奖,展示了 Mac 在音效和图形方面的优势。游戏目标是击败黑骑士,玩家需要探索城堡,收集工具并避开敌人。游戏包含多个不同关卡,难度逐渐增加,部分关卡设计复杂,需玩家具备快速反应和细致观察能力。网页提供了包含 MiniVMac 模拟器和 Mac Plus ROM 文件的下载包,方便玩家在 PC 上运行游戏。

续作《Beyond Dark Castle》于 1987 年发布,玩家需寻找梅林的五个魔法球以开启通往黑骑士的门。游戏操作与前作相同,关卡设计复杂且具有挑战性,音效和动画表现良好,具有较强的吸引力。

《Return to Dark Castle》是 2008 年发布的系列第三作,开发历时多年。游戏包含前两作的所有关卡及 50 多个新关卡,新增了更大范围的水平和垂直滚动关卡。玩家扮演 Bryant,目标是收集 10 个宝珠击败黑骑士。游戏保留了经典玩法,同时增加了武器携带、传送药水和录像回放等新功能。剧情上揭示了前作主角 Duncan 未能完成任务,Bryant 接替挑战。

网页还提供了游戏的下载链接和使用说明,建议玩家使用全屏模式以获得更佳体验。此外,网站设有留言区,欢迎玩家分享游戏体验,并有“买杯咖啡”支持链接。

HN 热度 237 points | 评论 33 comments | 作者:evo_9 | 1 day ago #

https://news.ycombinator.com/item?id=47733521

  • Dark Castle 的程序员是 Jonathan Gay,他后来开发了 FutureSplash,也就是后来著名的 Flash。
  • 游戏中的怪物声音和拾取石头时的“Yeah!”成为玩家的经典回忆和模仿对象。
  • 游戏中的角色喝酒的场景较少,主角并不是重度饮酒者。
  • 有人声称正在制作 Dark Castle 的 40 周年纪念版。
  • 游戏可以在浏览器上玩,但部分网站下载链接已失效或出现错误。
  • 反馈表单在主流浏览器中存在兼容性问题。
  • Dark Castle 的画面和玩法在 1986 年发布时表现出色,至今仍值得一玩。
  • 游戏的下载链接大多已失效,但可以通过互联网档案馆等途径找到备份。
  • Return to Dark Castle 的更新版本已在 Steam 平台发售,包含更多关卡并支持现代电脑。
  • 游戏与同年发布的 Castlevania 有些相似之处,可能有共同的影响来源。
  • 有人建议将 Dark Castle 移植到复古平台模拟器上。
  • Infinite Mac 网站上的浏览器模拟体验比 ClassicReload 更流畅。
  • 游戏的最佳体验是在 CD-i 平台上。
  • Mini vMac 模拟器支持 Linux,可以用来运行 Dark Castle,但需要 Mac Plus ROM 和游戏磁盘镜像。
  • 游戏的版权归属和源码发布情况不明,尚无公开信息。

Hacker News 精彩评论及翻译 #

Anthropic downgraded cache TTL on March 6th #

https://news.ycombinator.com/item?id=47737485

Has anybody else noticed a pretty significant shift in sentiment when discussing Claude/Codex with other engineers since even just a few months ago? Specifically because of the secret/hidden nature of these changes.

I keep getting the sense that people feel like they have no idea if they are getting the product that they originally paid for, or something much weaker, and this sentiment seems to be constantly spreading. Like when I hear Anthropic mentioned in the past few weeks, it’s almost always in some negative context.

sunaurus

有没有人注意到,自几个月前起,讨论Claude/Codex时,工程师之间的情绪发生了很大的变化?特别是因为这些变化是秘密/隐藏进行的。

我总感觉大家都觉得自己根本不知道自己拿到的到底是当初付钱买的产品,还是一个大打折扣的版本,而且这种情绪似乎在不断蔓延。最近几周每次听到有人提到Anthropic,几乎都是在负面语境下。

Tell HN: docker pull fails in spain due to footbal… #

https://news.ycombinator.com/item?id=47740148

Heh, lucky you, at least you get a message. My ISP just drops traffic to the affected IPs. No ping, no traceroute, just a spinner in the browser until it says “page not found”.

Every response and comment from LaLiga, the football organization responsible for this, has been so far that this is a minor issue that only affects a few bunch of nerds who talk about “docker images” or “github repositories” or “whatever that means”.

Meanwhile, there are testimonies of smart home devices like anti-theft alarms or automatic doors, that stop working whenever there is a football match, because their backends rely on Cloudflare.

Last week, a woman asked for help on social media, as the GPS tracking app she uses to see where her father with dementia is, went offline during a match. It was getting late and he still wasn’t back home, and she couldn’t locate the tag he was wearing to find him: https://www.infobae.com/america/agencias/2026/04/05/laliga-desmiente-que-sus-sistemas-antipirateria-hayan-hecho-fallar-un-dispositivo-de-localizacion-personal/

It’s hard to say this, because no one should experience an event like this, but as stressful as these are, it’s the only way to make the mainstream people care about this censorship. “I cannot pull a docker image” will never be on nightly news, but safety and personal security is a more powerful driver for discourses.

danirod

呵,真幸运,至少你还能收到消息。我的网络服务提供商直接屏蔽了受影响的IP,没有ping,没有traceroute,浏览器里一直转圈,最后显示“页面未找到”。

截止目前,负责此事的足球组织西甲联赛的所有回应和评论都称这只是一个小问题,只影响那些讨论“docker镜像”或“github仓库”之类“无关紧要”的一小部分极客。

然而,有报告显示,像防盗报警器或自动门这样的智能家居设备在足球比赛期间会停止工作,因为它们的后台依赖Cloudflare。

上周,一位女士在社交媒体上求助,说她用来追踪患有痴呆症的父亲位置的GPS追踪应用在比赛期间掉线了。天已经晚了,他还没回家,她也无法定位他佩戴的标签以找到他:https://www.infobae.com/america/agencias/2026/04/05/laliga-desmiente-que-sus-sistemas-antipirateria-hayan-hecho-fallar-un-dispositivo-de-localizacion-personal/

说这些话很难,因为没人应该经历这样的事情,但尽管这很让人紧张,这却是让更多普通人关注这种审查的唯一方式。“我无法拉取docker镜像”永远不会上晚间新闻,但安全和个人安保则更加有力地推动了讨论。

Seven countries now generate 100% of their electri… #

https://news.ycombinator.com/item?id=47740465

Albania, Bhutan, Nepal, Paraguay, Iceland, Ethiopia and the Democratic Republic of Congo produced more than 99.7 per cent of the electricity they consumed using geothermal, hydro, solar or wind power.

Let’s head to electricitymaps.com !

Albania ( https://app.electricitymaps.com/map/zone/AL/live/fifteen_minutes )

  • On 2026-04-12 16:45 GMT+2, 22,67% of electricity consumed by Albania is imported from Greece, which generates 22% of its electricity from gas. Interestingly, Albania exports about as much to Montenegro as it imports from Greece.

Bhutan:

  • 100% hydro, makes perfect sense

Nepal:

  • 98% hydro, a bit of solar for good measure

Iceland:

  • 70% hydro, 30% geo

Paraguay:

  • 99,9% hydro

Ethiopia:

  • 96,4% hydro

DRC

  • 99.6% hydro

So, the lessons for all other countries in the world is pretty clear: grow yourselves some mountains, dig yourselves a big river, and dam, baby, dam !!

(I’m kidding, but I’m sure someone has a pie-in-the-sky geoengineering startup about to disrupt topography using either AI, blockchain, or both.)

phtrivier

阿尔巴尼亚、不丹、尼泊尔、巴拉圭、冰岛、埃塞俄比亚和刚果民主共和国使用地热、水电、太阳能或风能生产了超过99.7%的所用电力。

让我们访问 electricitymaps.com 吧!

阿尔巴尼亚(https://app.electricitymaps.com/map/zone/AL/live/fifteen_minutes)

  • 在2026年4月12日16:45(GMT+2),阿尔巴尼亚消费的电力中有22.67%是从希腊进口的,而希腊22%的电力是由天然气产生的。有趣的是,阿尔巴尼亚向黑山出口的电量几乎与其从希腊进口的电量相当。

不丹:

  • 100%水电,完全合理

尼泊尔:

  • 98%水电,搭配少量太阳能

冰岛:

  • 70%水电,30%地热

巴拉圭:

  • 99.9%水电

埃塞俄比亚:

  • 96.4%水电

刚果民主共和国:

  • 99.6%水电

所以,对世界上其他国家的启示非常明确:自己造几座山,挖条大河,然后,建坝,宝贝,建坝!!

(我开玩笑的,但我敢肯定有人已经有个空想的地质工程创业项目,要用AI、区块链或者两者结合来颠覆地形改造。)

Small models also found the vulnerabilities that M… #

https://news.ycombinator.com/item?id=47732254

We took the specific vulnerabilities Anthropic showcases in their announcement, isolated the relevant code, and ran them through small, cheap, open-weights models. Those models recovered much of the same analysis. Eight out of eight models detected Mythos’s flagship FreeBSD exploit, including one with only 3.6 billion active parameters costing $0.11 per million tokens.

Impressive, and very valuable work, but isolating the relevant code changes the situation so much that I’m not sure it’s much of the same use case.

Being able to dump an entire code base and have the model scan it is they type of situation where it opens up vulnerability scans to an entirely larger class of people.

epistasis

我们选取了Anthropic在其公告中展示的具体漏洞,提取了相关代码,并用一些小型、廉价的开放权重模型进行测试。这些模型恢复了大部分相同的分析。八个模型全都检测到了Mythos的旗舰FreeBSD漏洞,包括一个只有36亿活动参数、每百万token费用仅0.11美元的模型。

令人印象深刻且非常有价值的工作,但单独提取相关代码会大大改变情况,所以我不确定这是否算是相同的用例。

能够导出整个代码库并让模型扫描,这种情况让漏洞扫描对更广泛的人群开放了。

I run multiple $10K MRR companies on a $20/month t… #

https://news.ycombinator.com/item?id=47737182

The enterprise mindset dictates that you need an out-of-process database server. But the truth is, a local SQLite file communicating over the C-interface or memory is orders of magnitude faster than making a TCP network hop to a remote Postgres server.

I don’t want to diss SQLite because it is awesome and more than adequate for many/most web apps but you can connect to Postgres (or any DB really) on localhost over a Unix domain socket and avoid nearly all of the overhead.

It’s not much harder to use than SQLite, you get all of the Postgres features, it’s easier to run reports or whatever on the live db from a different box, and much easier if it comes time to setup a read replica, HA, or run the DB on a different box from the app.

I don’t think running Postgres on the same box as your app is the same class of optimistic over provisioning as setting up a kubernetes cluster.

hackingonempty

企业思维认为你需要一个进程外的数据库服务器。但事实是,一个本地的 SQLite 文件通过 C 接口或内存通信,其速度要比通过 TCP 网络跳转到远程 Postgres 服务器快好几个数量级。

我不想贬低 SQLite,因为它很棒,并且对于许多/大多数网络应用来说足够用了,但你可以通过 Unix 域套接字在本地主机上连接到 Postgres(或者任何数据库),几乎可以避免所有开销。

使用它并不比 SQLite 难多少,你可以获得所有 Postgres 的功能,且从不同的机器上对实时数据库进行报表或其他操作也更简单,如果需要设置只读副本、高可用,或把数据库部署在与应用不同的机器上,也会容易得多。

我不认为把 Postgres 和应用部署在同一台机器上,和搭建 Kubernetes 集群那种乐观的过度配置是同一类事情。

We have a 99% email reputation. Gmail disagrees #

https://news.ycombinator.com/item?id=47739641

How do you get email addresses? Do people freely and explicitly choose to sign up to your mailing list, or is it baggage that you’re forcing on them without their consent?

I notice that when I go to https://fontawesome.com/ and click “Start for Free”, I’m asked for my email address. This isn’t necessary for me to use the icons. I just need a page that tells me to add the necessary tags for cdnjs 0.

I think your problem is dissonance between what you think your users want and what they actually want. If I had to sign up for a mailing list in order to use every frontend development library I’ve ever used, and their emails actually made it past my spam filter, I’d never see anything else.

I think Google’s doing the right thing here. You need to separate your newsletter and product updates from people who just want to set up the icons and move on with their lives.

Youden

你是怎么获取电子邮件地址的?人们是自愿并明确选择加入你的邮件列表,还是你在未经他们同意的情况下强行加上的?

我注意到当我访问 https://fontawesome.com/ 并点击“免费开始”时,会被要求提供我的电子邮件地址。其实我使用图标并不需要这个,我只需要一个告诉我如何添加 cdnjs 相关标签的页面 0

我认为你们的问题在于你们所认为用户想要的和他们实际想要的之间存在矛盾。如果我每次使用前端开发库都必须注册邮件列表,而且他们的邮件真的能穿过我的垃圾邮件过滤器,那我就永远见不到其他内容了。

我觉得谷歌在这方面做得很对。你们需要把新闻通讯和产品更新跟那些只是想设置图标然后继续生活的人区分开来。

AI Will Be Met with Violence, and Nothing Good Wil… #

https://news.ycombinator.com/item?id=47739230

I feel like if people keep using AI as a blanket term for “inequality” and “inequality accelerants” then yeah, it’s “AI”’s fault. When in reality the whole thing needs to be decoupled..

“Gleefully taking away people’s livelihoods will be met with violence, and nothing good will come of it.” - fixed.

Avicebron

我觉得如果人们继续把“人工智能”作为“社会不平等”和“不平等加速器”的统称,那当然会怪罪到“人工智能”头上。但实际上,这整个问题需要被拆开来看。

“愉快地夺走人们的生计只会引发暴力,没有好结果。” — 已修正。

I run multiple $10K MRR companies on a $20/month t… #

https://news.ycombinator.com/item?id=47737434

If this sounds like basic advice, consider there are a lot of people out there that believe they have to start with serverless, kubernetes, fleets of servers, planet-scale databases, multi-zone high-availability setups, and many other “best practices”.

Saying “you can just run things on a cheap VPS” sounds amateurish: people are immediately out with “Yeah but scaling”, “Yeah but high availability”, “Yeah but backups”, “Yeah but now you have to maintain it” arguments, that are basically regurgitated sales pitches for various cloud platforms. It’s learned helplessness.

senko

如果这听起来像是基础建议,请考虑有很多人认为他们必须从无服务器架构、Kubernetes、大量服务器、行星级数据库、多区域高可用性设置以及许多其他“最佳实践”开始。

说“你可以直接在廉价的VPS上运行”听起来很业余:人们马上会反驳“可是要扩展”、“可是要高可用”、“可是要备份”、“可是现在你得维护它”等等,这些基本上就是各种云平台的复述版销售话术。这是一种习得性无助。

We have a 99% email reputation. Gmail disagrees #

https://news.ycombinator.com/item?id=47739762

I’m a Font Awesome subscriber and yes, for the record, they spam me with annoying marketing and probably deserve their Gmail woes.

They also use that silly dark pattern where they alternate sending out marketing emails from {David,Harry,Sam,Janet,every other person at the company}@fontawesome.com.

0x3f

我是Font Awesome的订阅用户,说实话,他们确实经常给我发烦人的营销邮件,可能也活该他们的Gmail问题。

他们还使用那种愚蠢的暗黑模式营销策略,比如轮流用公司里不同人的邮箱发营销邮件,比如{David, Harry, Sam, Janet,以及公司其他人}@fontawesome.com。

Anthropic downgraded cache TTL on March 6th #

https://news.ycombinator.com/item?id=47737815

Well, off the top of my head:

  • Banning OpenClaw users (within their rights, of course, but bad optics)

  • Banning 3rd party harnesses in general (ditto)

(claude -p still works on the sub but I get the feeling like if I actually use it, I’ll get my Anthropic acct. nuked. Would be great to get some clarity on this. If I invoke it from my Telegram bot, is that an unauthorized 3rd party harness?)

  • Lowering reasoning effort (and then showing up here saying “we’ll try to make sure the most valuable customers get the non-gimped experience” (paraphrasing slightly xD))

  • Massively reduced usage (apparently a bug?) The other day I got 21x more usage spend on the same task for Claude vs Codex.

  • Noticed a very sharp drop in response length in the Claude app. Asked Claude about it and it mentioned several things in the system prompt related to reduced reasoning effort, keeping responses as brief as possible, etc.

It’s all circumstantial but everything points towards “desperately trying to cut costs”.

I love Claude and I won’t be switching any time soon (though with the usage limits I’m increasingly using Codex for coding), but it’s getting hard to recommend it to friends lately. I told a friend “it was the best option, until about two weeks ago…” Now it’s up in the air.

andai

好吧,随便说说:

  • 禁止使用 OpenClaw 用户(当然这是他们的权利,但从形象上来说不好)

  • 一般禁止使用第三方接入工具(同上)

(claude -p 在子论坛上仍然可用,但我感觉如果我真的用它,可能会被Anthropic账号封禁。希望能对此弄清楚。如果我通过我的Telegram机器人调用它,这是不是未经授权的第三方接入工具?)

  • 降低推理力度(然后又在这里说“我们会努力确保最重要的客户能得到不受限制的体验”(稍微这么转述一下XD))

  • 使用量大幅减少(显然是个bug?)前几天我做同样任务时,Claude的使用费用比Codex高出21倍。

  • 注意到Claude应用里的回复长度突然大幅缩短。我问了Claude,它说系统提示里有几条内容和降低推理力度、保持回复尽量简短有关。

虽然都是间接迹象,但一切都指向“拼命想压缩成本”。

我很喜欢Claude,也不会很快换用别的(不过因为使用限制,我越来越多用Codex写代码),但最近越来越难把它推荐给朋友了。我跟一个朋友说:“它曾经是最佳选择,直到大约两周前……”现在就看情况了。

Show HN: boringBar – a taskbar-style dock replacem… #

https://news.ycombinator.com/item?id=47742559

I am the target audience for this, from a UX and tech perspective. It addresses a problem I have and for which I periodically audition solutions.

A subscription for a menu bar, though, kills it for me. I have apps on Macs that are over 20 years old. Some of those companies don’t exist anymore. I’m not going to risk paying $100 for a decade of your app and hope that your company, or your goodwill, stays around that long.

sonofhans

我是这个产品的目标用户,从用户体验和技术角度来看。它解决了我遇到的问题,而我也会定期尝试各种解决方案。

但是,如果要为一个菜单栏应用订阅付费,那我就不会考虑了。我Mac上的一些应用已经用了二十多年,其中一些公司的名字现在已经不存在了。我不会冒着花一百美元买你们应用十年使用权的风险,同时还得希望你们公司或你们的信誉能维持那么久。

Pro Max 5x quota exhausted in 1.5 hours despite mo… #

https://news.ycombinator.com/item?id=47740970

Boris, you’re seeing a ton of anecdotes here and Claude has done something that has affected a bunch of their most fervent users.

Jeff Bezos famously said that if the anecdotes are contradicting the metrics, then the metrics are measuring the wrong things. I suggest you take the anecdotes here seriously and figure out where/why the metrics are wrong.

reenorap

Boris,你在这里看到的是大量的轶事,而Claude做了一些影响了他们最热情用户的事情。

杰夫·贝佐斯曾说过,如果轶事与数据指标相互矛盾,那么说明这些指标测量的东西是错的。我建议你认真对待这里的这些轶事,找出指标出错的地方和原因。

Small models also found the vulnerabilities that M… #

https://news.ycombinator.com/item?id=47732350

If you cut out the vulnerable code from Heartbleed and just put it in front of a C programmer, they will immediately flag it. It’s obvious. But it took Neel Mehta to discover it. What’s difficult about finding vulnerabilities isn’t properly identifying whether code is mishandling buffers or holding references after freeing something; it’s spotting that in the context of a large, complex program, and working out how attacker-controlled data hits that code.

It’s weird that Aisle wrote this.

tptacek

如果你把Heartbleed中易受攻击的代码截出来,直接给一个C程序员看,他们马上就能指出问题。这很明显。但发现它的是Neel Mehta。发现漏洞难的地方不在于正确识别代码是否错误处理了缓冲区或在释放后仍持有引用,而是在一个庞大复杂的程序环境中发现这些问题,并弄清楚攻击者控制的数据如何影响这段代码。

Aisle写这番话真奇怪。

Exploiting the most prominent AI agent benchmarks #

https://news.ycombinator.com/item?id=47733441

This is a phenomenal paper on exploits and hopefully changes the way benchmarking is done.

From the paper: We achieved near-perfect scores on all of them without solving a single task. The exploits range from the embarrassingly simple (sending {} to FieldWorkArena) to the technically involved (trojanizing binary wrappers in Terminal-Bench), but they all share a common thread: the evaluation was not designed to resist a system that optimizes for the score rather than the task.

ggillas

这是一篇关于漏洞利用的杰出论文,希望能改变基准测试的方式。

论文中写道:我们在所有测试中几乎都获得了近乎满分的成绩,且没有解决任何一个任务。这些漏洞利用手段从极其简单的(向FieldWorkArena发送{})到技术上复杂的(在Terminal-Bench中对二进制封装器进行木马植入)不等,但它们都有一个共同点:评估设计并未考虑抵抗那些优化分数而非任务本身的系统。

JSON formatter Chrome plugin now closed and inject… #

https://news.ycombinator.com/item?id=47724977

From the author on HN a couple years ago:

FWIW, and since a few of you probably use it… I own the JSON Formatter extension 0, which I created and open-sourced 12 years ago and have maintained [1] ever since, with 2 million users today. And I solemnly swear that I will never add any code that sends any data anywhere, nor let it fall into the hands of anyone else who would. I’ve been emailed several tempting cash offers from shady people who presumably want to steal everyone’s data or worse. I sometimes wish I had never put my name on it so I could just take the money without harming my reputation, but I did, so I’m stuck with being honourable. On the plus side I will always be able to say that I never sold out.

https://news.ycombinator.com/item?id=37067908

drunkendog

作者几年前在HN上的回复:

供参考,也因为你们中可能有些人用过……我拥有JSON Formatter扩展 0,这是我12年前创建并开源的项目,并且一直在维护[1],现在有200万用户。我郑重承诺绝不会添加任何会将数据发送出去的代码,也不会让它落入任何会这么做的人的手中。我曾收到过几封诱人的现金收购邮件,来自一些可疑人士,他们大概想偷取所有人的数据甚至做更坏的事。有时我真希望当初没把名字署上去,这样我就可以拿钱而不损害我的声誉,但既然我署了名,就只能保持诚信。好的一面是,我永远可以说我从未出卖过。

We have a 99% email reputation. Gmail disagrees #

https://news.ycombinator.com/item?id=47740237

I don’t know if this is true with Font Awesome, but more and more companies are spamming my inbox despite disabling any promotional emails in their settings.

So, I mark any unwanted email as spam in Gmail immediately, and even leave bad reviews.

Having my email address is not the same as having my consent. Stop trying to roofie us with malicious EULAs.

itopaloglu83

我不知道这对 Font Awesome 是否适用,但越来越多的公司即使在设置中关闭了任何促销邮件,仍然不断向我邮箱发送垃圾邮件。

所以,我会在 Gmail 里立刻把任何不想要的邮件标记为垃圾邮件,甚至留下差评。

拥有我的邮箱地址并不等于获得了我的同意。别再试图用恶意的最终用户许可协议来欺骗我们了。

Starfling: A one-tap endless orbital slingshot gam… #

https://news.ycombinator.com/item?id=47730201

I would make restarting much much faster than it is now. That’s the most annoying part and it breaks the satisfying chain completely for me. I miss and then have to watch it slowly fall, or struggle to find the reset button. And even if I hit the reset, I have to go through the menu.

At the very least, put the reset and play again buttons in the same spot, so I can just keep tapping/clicking there.

Super Meat Boy is how all games like this should be.

0x3f

我希望重启能快得多,现在的速度实在太慢了。这是最让人烦躁的部分,完全打断了我那种连贯的满足感。我错过了,就得看着它缓慢地掉落,或者费力地去找重置按钮。即使我按了重置,还得通过菜单。

至少,把重置和再玩一次的按钮放在同一位置,这样我就能一直在那里点击/敲击。

《超级肉食男孩》就是所有这类游戏应该有的样子。

Filing the corners off my MacBooks #

https://news.ycombinator.com/item?id=47725360

why are they so sharp?

they intentionally ship them sharp so you can file them down to your desired fillet

the design is very human

jareklupinski

为什么它们这么锋利?

他们故意把它们做得很锋利,这样你可以根据自己的喜好将边缘磨平。

这个设计非常贴合人性。

Pro Max 5x quota exhausted in 1.5 hours despite mo… #

https://news.ycombinator.com/item?id=47740541

Hey all, Boris from the Claude Code team here.

We’ve been investigating these reports, and a few of the top issues we’ve found are:

  1. Prompt cache misses when using 1M token context window are expensive. Since Claude Code uses a 1 hour prompt cache window for the main agent, if you leave your computer for over an hour then continue a stale session, it’s often a full cache miss. To improve this, we have shipped a few UX improvements (eg. to nudge you to /clear before continuing a long stale session), and are investigating defaulting to 400k context instead, with an option to configure your context window to up to 1M if preferred. To experiment with this now, try: CLAUDE_CODE_AUTO_COMPACT_WINDOW=400000 claude.

  2. People pulling in a large number of skills, or running many agents or background automations, which sometimes happens when using a large number of plugins. This was the case for a surprisingly large number of users, and we are actively working on (a) improving the UX to make these cases more visible to users and (b) more intelligently truncating, pruning, and scheduling non-main tasks to avoid surprise token usage.

In the process, we ruled out a large number of hypotheses: adaptive thinking, other kinds of harness regressions, model and inference regressions.

We are continuing to investigate and prioritize this. The most actionable thing for people running into this is to run /feedback, and optionally post the feedback ids either here or in the Github issue. That makes it possible for us to debug specific reports.

bcherny

大家好,我是Claude Code团队的Boris。

我们一直在调查这些报告,发现了一些主要问题:

  1. 使用100万令牌上下文窗口时,提示缓存未命中代价较高。由于Claude Code对主代理使用了1小时的提示缓存窗口,如果你离开电脑超过一小时后继续使用一个陈旧的会话,通常会出现缓存完全未命中的情况。为了解决这个问题,我们发布了一些用户体验改进(例如,提醒你在继续长时间陈旧的会话前使用/clear命令),并正在考虑默认将上下文窗口改为40万令牌,同时提供配置选项,允许用户根据需要调整上下文窗口至最多100万令牌。如果想现在试试,可以执行:CLAUDE_CODE_AUTO_COMPACT_WINDOW=400000 claude。

  2. 部分用户加载了大量技能,或同时运行许多代理或后台自动化任务,这在使用大量插件时尤为明显。我们发现这类情况的用户数量出乎意料地多,我们正在积极工作:(a) 改进用户体验,使这些情况更加明显可见,(b) 更智能地截断、修剪和调度非主要任务,以避免意外的令牌使用量。

在此过程中,我们排除了许多假设:适应性思维、其他类型的框架回归、模型和推理回归。

我们将继续调查并优先处理此事。遇到相关问题的用户最实用的做法是运行/feedback命令,并可选择性地将反馈ID发布到这里或Github问题区,这将方便我们针对具体报告进行调试。